Файловый резидентный вирус "Major (RE-1644)"

Опасный шифрующийся вирус.

При размещении своей резидентной копии в оперативной памяти вирус формирует для себя блок памяти размером 76Bh параграфов (30384 байт; слишком много для такого вируса - видимо, ошибка автора). Затем получает адрес флага критической секции DOS и перехватывает вектора 08h (таймер) и 21h (сервис операционной системы).

Вирус инфицирует файлы формата EXE при запуске на выполнение. Процедура заражения написана автором корректно - вирус обнуляет атрибуты у файла, перехватывает Int 23h и 24h (обработка Ctlr-Break и критических ошибок), сохраняет дату-время создания файла, выравнивает файл на границу параграфа и дописывает свое тело. Признак инфицирования файлов - в поле "Контрольная сумма" файла находится английское слово DEAD.

Проявление вируса. Резидентный обработчик таймерного прерывания контролирует значение системного времени, и в период примерно с 2 до 3 часов ночи пытается обнаружить файлы '\BBSV6\BBSAUDIT.DAT' и '\BBSV6\BBSUSR.DAT', открывает их по записи и изменяет находящуюся там информацию.

Вирус содержит текстовые строки: 'The Major BBS Virus' и 'created by Major tom'.

10.03.1997

По ВСЕМ вопросам, связанным с антивирусной защитой и восстановлением поврежденной информации, Вы можете связаться с авторами программы:

Пейджинг: тел. 276-95-10, 222-14-54 для абонента 20587
FidoNet: 2:450/26.20@fidonet либо 2:450/63.209@fidonet
E-mail: [email protected] либо [email protected]

Подозрительные файлы и дампы загрузчиков Вы можете поместить на BBS 'Bercli' в область 'VIRUS' (тел. станции 223-31-54, время работы - круглосуточно).

Версия для печатиВерсия для печати

Номер: 

11 за 1997 год

Рубрика: 

Стоп: вирус!
Заметили ошибку? Выделите ее мышкой и нажмите Ctrl+Enter!